CISP之应急响应20100321.ppt

中启航国际教育学院 CISP培训 应急响应 中启航国际教育学院 议程 应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制 中启航国际教育学院 应急响应的客体 安全事件 安全事件 威胁 脆弱性 中启航国际教育学院 安全事件的组成 威胁 威胁是可能导致信息安全事故和组织信息资产损失的活动威胁是利用脆弱性来造成后果 中启航国际教育学院 安全事件的组成 威胁举例 黑客入侵和攻击病毒 蠕虫 木马软硬件故障人为误操作自然灾害如 地震 火灾 爆炸等 盗窃网络监听供电故障未授权访问 中启航国际教育学院 脆弱性 是与信息资产有关的弱点或安全隐患 脆弱性本身并不对资产构成危害 但是在一定条件得到满足时 脆弱性会被威胁加以利用来对信息资产造成危害 安全事件的组成 中启航国际教育学院 脆弱性举例 系统漏洞程序Bug后门系统没有进行安全配置缺少审计 物理环境不安全缺乏安全意识缺乏专业人员不良习惯 安全事件的组成 中启航国际教育学院 应急响应的保障能力 XYZ 预防监测控制恢复 资源策略平台组织 间谍软件 网络窃听 僵尸网络 DDOS X需要的元素 Z各种事件的研究 Y需要的能力 中启航国际教育学院 应急响应的保障能力 Y应对能力 中启航国际教育学院 应急响应的保障能力 X实现要素 中启航国际教育学院 应急响应的保障能力 Z事件研究 中启航国际教育学院 我们面临的挑战 几个关键词 规模 个人 组织 国家 国际速度 0day漏洞分析 海量数据和信息定位 没有边界的网络世界和有边界的行政管理目的 恶作剧 科学研究 商业敲诈 政治因素后果 经济损失 非经济损失 中启航国际教育学院 第一个应急响应组织机构 CERT CC 蠕虫攻击 CERT CC创建 Morris Worm 1988年11月 中启航国际教育学院 应急响应管理概述第一个应急响应组织机构 CERT CC Morris蠕虫的背景RobertTappanMorris 世界蠕虫之父 人类历史上的一个hacker 美国前国家安全局首席科学家RobertMorris的儿子 APPANET刚刚转为民用 大概有6 8万台电脑通过Internet进行互联Morris出于研究互联网规模的目的开始在网络上注入了一个程序文件 但由于程序自身的BUG开始自我复制并造成10 的电脑死机最后Morris自首 并根据美国1986年颁布的 计算机欺诈和滥用法令 被判有罪并处以3年缓刑 1万美元罚金和400小时的社区义务劳动 中启航国际教育学院 应急响应服务背景 应急响应服务的诞生 CERT CC1988年Morris蠕虫事件直接导致了在2周后的CERT CC的诞生 美国国防部 DoD 在卡内基梅隆大学的软件工程研究所成立了计算机应急响应组协调中心 CERT CC 以协调Internet上的安全事件处理 目前 CERT CC是DoD资助下的抗毁性网络系统计划 NetworkedSystemsSurvivabilityProgram 的一部分 下设三个部门 事件处理 脆弱性处理 计算机安全应急响应组 CSIRT 在CERT CC成立至今 共处理了70万多封Email 10万多个热线电话 其运行模式帮助了100多个CSIRT组织的建设 中启航国际教育学院 应急响应服务背景 CERT CC服务的内容安全事件响应安全事件分析和软件安全缺陷研究缺陷知识库开发信息发布 缺陷 公告 总结 统计 补丁 工具教育与培训 CSIRT管理 CSIRT技术培训 系统和网络管理员安全培训指导其它CSIRT 也称IRT CERT 组织建设 中启航国际教育学院 议程 应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制 中启航国际教育学院 事件响应 事件响应 对发生在计算机系统或网络上的威胁安全的事件进行响应 事件响应是信息安全生命周期的必要组成部分 这个生命周期包括 对策 检测 响应准备 遏制 根除和恢复 事后活动 网络安全的发展日新月异 谁也无法实现一劳永逸的安全服务 中启航国际教育学院 什么是应急响应 应急响应也叫紧急响应 是安全事件发生后迅速采取的措施和行动 它是安全事件响应的一种快速实现方式 应急响应服务是解决网络系统安全问题的有效安全服务手段之一 中启航国际教育学院 应急响应的目的 应急响应服务的目的是最快速度恢复系统的保密性 完整性和可用性 阻止和减小安全事件带来的影响 中启航国际教育学院 应急响应服务的特点 技术复杂性与专业性各种硬件平台 操作系统 应用软件知识经验的依赖性由IRT中的人提供服务 而不是一个硬件或软件产品突发性强需要广泛的协调与合作 中启航国际教育学院 议程 应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制 中启航国际教育学院 应急响应组的组建 什么是应急响应组 IRT 应急响应组就是一个或更多的个人组成的团队 能快速执行和处理与安全有关的事件的任务 为什么需要成立应急响应组容易协调响应工作提高专业知识提高效率提高先期主动防御能力更加适合于满足机构的需要提高联络功能提高处理制度障碍方面的能力 中启航国际教育学院 应急响应组的分类 国际间的协调组织 国内的协调组织 国内的协调组织 愿意付费的任何用户 产品用户 网络接入用户 企业部门 用户 商业IRT 网络服务提供商IRT 厂商IRT 企业 政府IRT 如 专业安全厂商 如 电信企业 如 Cisco IBM 如 中国银行 公安部 如CERT CC FIRST 如CNCERT CC 中启航国际教育学院 国外应急响应组建设情况 FIRST 1990 FIRST为IRT组织 厂商和其他安全专家提供一个论坛 讨论安全缺陷 入侵者使用的方法和技巧 建议等 共同的寻找一个可接受的方案 120多个正式成员组织 覆盖20多个国家和地区 FIRST的大量工作都是由来自各成员组织的志愿者完成的 从FIRST中获益的比例与IRT愿意提供的贡献成比例 国外安全事件响应组 CSIRT 建设情况FedCIRC 联邦计算机事故反应中心 BACIRT 美国银行计算机事故反应中心 DFN CERT 德国国家研究及教育网络 等DOECIAC AFCERT 美国空军 NavyCIRT亚太地区 AusCERT 澳大利亚 SingCERT 新加坡 等 中启航国际教育学院 国内应急响应组建设情况 计算机网络基础设施已经严重依赖国外由于地理 语言 政治等多种因素 安全服务不可能依赖国外的组织国内的应急响应服务组织还处在建设阶段CCERT 1999年5月 中国教育科研网紧急响应组NJCERT 1999年10月 中国教育网华东 北 地区网络安全事件响应组中国电信ChinaNet安全小组解放军 总参 公安部商业网络安全服务公司中国计算机应急响应组 协调中心CNCERT CC原信息产业部安全管理中心 2000年3月 北京 中启航国际教育学院 CNCERT CC概述 中启航国际教育学院 CNCERT CC概述 中启航国际教育学院 议程 应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制 中启航国际教育学院 应急响应服务的过程 应急响应处理生命周期准备检测遏制 根除和恢复事后活动 中启航国际教育学院 应急响应服务的过程 准备 基于威胁建立一组合理的防御 控制措施建立一组尽可能高效的事件处理程序获得处理问题必须的资源和人员建立一个支持事件响应活动的基础设施 中启航国际教育学院 准备阶段 制定应急响应计划资源准备应急经费筹集人力资源相关软硬件设备理解网络 系统和应用的正常行为建立同外部方报告事故的机制保持所有主机时钟同步 维护和使用信息知识库 业务连续性保障系统容灾搭建临时业务系统 中启航国际教育学院 应急响应服务的过程 检测 确定事件是已经发生了还是在进行当中初步动作和响应选择检测工具 分析异常现象激活审计功能迅速备份完整系统记录所发生事件估计安全事件的范围 中启航国际教育学院 检测和分析阶段 通过各种类型的计算机安全设备所产生的告警来标识预兆和征兆 需要在所有系统上建立日志和审计的基线级别现场备份使用集中的日志并创建日志关联策略 执行事件关联 为经验较少的人员编制诊断矩阵 当应急小组怀疑事故发生时 尽可能快的开始记录所有信息 安全保护事故数据 在组织机构应急响应策略中包含事故汇报相关的内容 中启航国际教育学院 应急响应服务的过程 抑制 限制攻击的范围 同时限制了潜在的损失和破坏 抑制策略完全关闭所有系统 将网络断开 修改所有防火墙和路由器的过滤规则 拒绝异常流量 封锁或删除被攻击的登录账号 提高系统或网络行为的监控级别 设置诱饵服务器作为陷阱 关闭被利用的服务 反击攻击者的系统等 中启航国际教育学院 应急响应服务的过程 根除 安全事件被抑制后 找出事件根源并彻底根除 即根除事件的原因 中启航国际教育学院 应急响应服务的过程 恢复 把所有受侵害或被破坏的系统 应用 数据库等彻底地还原到它们正常的任务状态 中启航国际教育学院 应急响应服务的过程 跟踪 回顾事件处理过程总结经验教训为管理或法律目的收集损失统计信息建立或补充自己的应急计划报请公安机关立案 中启航国际教育学院 应急响应服务的过程 归档与统计 处理人时间地点工作量事件的类型处置情况代价细节 中启航国际教育学院 议程 应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制 中启航国际教育学院 应急响应服务的形式 远程应急响应服务本地应急响应服务 中启航国际教育学院 远程应急响应服务 客户通过电话 Email 传真等方式请求安全事件响应 应急响应组通过相同的方式为客户解决问题 经与客户网络相关人员确认后 客户方提供主机或设备的临时支持账号 由应急响应组远程登陆主机进行检测和服务 问题解决后出具详细的应急响应服务报告 远程系统无法登陆 或无法通过远程访问的方式替客户解决问题 客户确认后 转到本地应急相应流程 同时此次远程响应无效 归于本地应急响应类型 中启航国际教育学院 本地应急响应服务 应急响应组在第一时间赶往客户网络系统安全事件的事发地点 在现场为客户查找事发原因并解决相应问题 最后出具详细的应急响应服务报告 中启航国际教育学院 应急响应服务的内容 拒绝服务攻击事件响应恶意代码事件响应非授权访问事件响应不正确使用事件响应 中启航国际教育学院 应急响应处理实践 所处理的事故类型 拒绝服务事故拒绝服务 DoS 通过耗尽资源来阻止或伤害网络 系统或应用的攻击 分布拒绝服务 DDoS 一种使用大量主机执行攻击的DoS技术 恶意代码事故恶意代码 感染主机的病毒 蠕虫 特洛伊木马或其它代码实体 非授权访问事故非授权访问 人员没有没有得到许可 获得对网络 应用 数据或其它资源的逻辑或物理访问 不正确使用事故不正确使用 人员违反可接受的信息系统使用策略 中启航国际教育学院 拒绝服务事故 主要工作推荐增加备份冗余机制 部署专业设备 并正确配置网络设备和服务器 确定组织机构的互联网服务提供商 ISP 和第二层提供商能帮助处理网络DoS攻击 配置安全软件以检测DoS攻击 配置网络边界以拒绝所有没有明确允许的入局流量 中启航国际教育学院 恶意代码事故 主要工作推荐让用户意识到恶意代码问题 阅读防病毒公告 为关键主机部署主机入侵检测系统 包括文件完整性检查器 使用防病毒软件 并且保持更新为最新的病毒特征码 配置软件以阻止可疑的文件 减少开放的Windows共享 中启航国际教育学院 非授权访问事件 主要工作推荐配置入侵检测软件以对获得非授权访问的企图进行告警 配置所有主机使用集中日志 建立流程 以使所有用户修改其口令 配置网络边界以拒绝所有没有明确允许的入局流量 安全保护所有的远程访问方式 包括调制解调器和虚拟专用网 VPN 将所有公共访问的服务放在安全保护的非军事区 DMZ 网段 在主机上禁止所有不需要的服务并隔离关键的服务 在个人主机上使用主机防火墙软件以限制主机对攻击的暴露 创建和实施口令策略 中启航国际教育学院 不当操作事故 主要工作推荐同组织机构的人力资源和法务部门一起讨论不当操作事故的处理 同组织机构的法务部门讨论责任义务问题 配置网络入侵检测系统以检测某些类型的不正确使用 日志记录用户活动的基本信息 配置所有电子邮件服务器以使其不再用于非授权的邮件转发 在所有电子邮件服务器上实施垃圾邮件过滤软件 实施URL过滤软件 中启航国际教育学院 议程 应急响应服务背景什么是应急响应应急响应组的组建应急响应服务的过程应急响应服务的形式和内容应急响应服务的指标应急响应预案的编制 中启航国际教育学院 应急响应服务的指标 远程应急响应服务在确认客户的应急响应请求后2小时内 交与相关应急响应人员进行处理 无论是否解决 进行处理的当天必须返回响应情况的简报 直到此次响应服务结束 本地应急响应服务对本地范围内的客户 3 6小时内到达现场 对异地的客户 24小时加路途时间内到达现场 中启航国际教育学院 应急响应之Web入侵 主要目标 本次紧急响应是根据XX客户请求进行的 由于客户端增值业务的数据库服务器大量发送ARP欺骗包 工程师通过对该服务器进行检查 发现有黑客入侵的痕迹 因此 发现黑客进入系统的途径 并有效进行防护 减少 避免进一步的损失 防止同类事件再次发生 是我们这次紧急响应的主要目标 工作时间 2006年12月24日晚22 05起至12月31日主要人员 我方安全顾问 客户方工程师 中启航国际教育学院 应急响应之Web入侵 过程描述 12月24日 工程师在为用户实施安全检查时发现有一台内网数据库主机频繁发出ARP欺骗包 且其日志出现部分内容被非法删除和伪造的痕迹 同时在系统目录下发现由黑客上传的网络嗅探工具 断定此台服务器已经遭受黑客的入侵通过进一步分析 该黑客是利用GoogleHACK工具 通过其Web主机作为跳板 进入后台服务器的 检查其他主机 并未发现入侵痕迹 进行整体入侵流程分析 发现黑客是利用其后台管理系统 通过暴力的口令猜解取得管理员权限 上传带有木马的网页 并利用Web主机和DB主机之间的访问控制漏洞 借助139 445 3389等端口成功渗透数据库主机入侵DB主机后 利用SQLSEVER的漏洞取得ADMIN权限 安装CAIN工具 进一步嗅探内网其他主机的信息通过抓包工具分析 客户内网主机存在大量的明文传输的信息 但由于发现及时 该黑客尚未来得及采取下一步行动12月29日凌晨 检测该黑客再次登陆DB主机 启动CAIN工具 成功追查到源IP地址 发现并未伪造及时保存其日志通过定位 查找到其来源评估损失 考虑是否上报公安机关 采取进一步措施 中启